Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск модуля LKRG 0.9.7 для защиты от эксплуатации уязвимостей в ядре Linux "	+/–
Сообщение от opennews (??), 15-Сен-23, 12:31
Проект Openwall опубликовал выпуск модуля ядра LKRG 0.9.7 (Linux Kernel Runtime Guard), предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов (определение применения эксплоитов). Модуль подходит как для организации защиты от эксплоитов уже известных уязвимостей ядра Linux (например, в ситуациях когда в системе проблематично обновить ядро), так и для противостояния эксплоитам для ещё неизвестных уязвимостей. Код проекта распространяется под лицензией GPLv2. Об особенностях реализации LKRG можно прочитать в первом анонсе проекта... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59760
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 15-Сен-23, 12:31	+3 +/–
Надеюсь когда-нибудь я увижу такую же сноску про Раст. "Об особенностях реализации безопасной работы с памятью в Rust можно прочитать в первом анонсе проекта". Камень в огород редакции.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

2. Сообщение от Аноним (2), 15-Сен-23, 12:33	+1 +/–
А что, если эксплоит отключит этот модуль? Да ну, не может быть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #23

3. Сообщение от Серб (ok), 15-Сен-23, 12:41	+7 +/–
Тут кто первый встал - того и тапки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Аноним (4), 15-Сен-23, 12:45	+1 +/–
От UKSM было бы больше проку.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

5. Сообщение от swarus (ok), 15-Сен-23, 12:45	–1 +/–
первый антивирус онли Linux на старт, смотрите что популярность творит
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 15-Сен-23, 13:13	+1 +/–
А что если в модуле по защите от уязвимостей тоже есть уязвимость 🤔?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

7. Сообщение от Аноним (7), 15-Сен-23, 13:33	+/–
То это не уязвимость, а фича, кого надо фича. Название смотрим: Openwall > open wall > открой стену.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от Аноним (4), 15-Сен-23, 13:57	+/–
Или застени пробой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15

9. Сообщение от Аноним (9), 15-Сен-23, 14:38	+/–
Вызывает проблемы со звуком на некоторых сочетаниях аудиокарт и процессоров (у меня - двухядерный, на 8ядерном я проблем не слышал, но это не значит, что их не было). Неплохо бы сделать модуль PipeWire, который будет отключать LKRG во время воспроизведения звука, как временный костыль.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

10. Сообщение от Аноним (10), 15-Сен-23, 14:40	+/–
>В usermodehelper в список разрешённых файловых путей добавлен /usr/bin/modprobe, используемый в Arch Linux. А не проще ли список путей грузить из файла? Если уже есть рут, то терять особо нечего, а если рута нет - то файл особо и не модифицировать (ну разве что грязной коровой).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

12. Сообщение от YetAnotherOnanym (ok), 15-Сен-23, 15:45	+/–
Это к чему было?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

13. Сообщение от Анонин (?), 15-Сен-23, 16:23	+1 +/–
Скорее всего к повторяющемуся описанию "Безопасная работа с памятью обеспечивается..." из новости в новость про релиз раста. Такое ощущение, что новостедел бере просто тест с предыдущего релиза и заменяет часть текста на новый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от Аноним (14), 15-Сен-23, 16:58	+/–
Как это установить в мой дебиан?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #29, #30

15. Сообщение от Аноним (15), 15-Сен-23, 17:08	+/–
Где вмятина?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

16. Сообщение от 1 (??), 15-Сен-23, 17:34	+1 +/–
> Неплохо бы сделать модуль PipeWire, который будет отключать LKRG во время воспроизведения звука, как временный костыль. Подменять его функции и сигналить сиреной в колонки если зловред пытается нарушить структуры ядра. P.S. Разве Kernel Panic не защищает ядро от нарушения структур ядра ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21

17. Сообщение от Аноним (17), 15-Сен-23, 19:43	+/–
> This repository has been archived by the owner on Aug 29, 2023. It is now read-only. Не будет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #19

18. Сообщение от Аноним (17), 15-Сен-23, 19:45	+/–
А чего в само ядро не берут его?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

19. Сообщение от Аноним (4), 15-Сен-23, 20:25	+/–
Долго приходилось самостоятельно поддерживать работоспособность и копаться в ядре. Удовольствие не из приятных, учитывая частоту, с которой патчи отваливались. Вот бы кто-нибудь подхватил, отличная вещь была же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20

20. Сообщение от Аноним (20), 15-Сен-23, 21:23	+/–
В красивой упаковке передайте Linux Foundation, типа как Мазила свои разработки. ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Минона (ok), 15-Сен-23, 22:02	+/–
Паника это следствие каких то нарушений в ядре, а не превентивная мера защиты от них.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

22. Сообщение от Аноним (22), 15-Сен-23, 23:55	+/–
А если файл недоступен, что делать? А если доступен, но неправильного формата? А если прочиталась только половина файла? А если… Короче, такие вещи лучше захардкодить сразу, чем потом ифать каждый угол. Динамическая конфигурация сама по себе дыра в безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #31

23. Сообщение от Аноним (23), 16-Сен-23, 06:32	+1 +/–
Мне нравится больше классический подход: Строгое W^X Для неизменяемых данных строгое RO > предназначенного для выявления и блокирования атак и нарушений целостности структур ядра. Например, модуль может защитить от несанкционированного внесения изменений в работающее ядро и попыток изменения полномочий пользовательских процессов Считаю все технологии позволяющие вносить любые изменения в работающие ядро - БЕКДОРОМ! Все что исполняется никогда не должно изменятся, а что изменяется никогда не должно исполнятся. Это фундамент ИТ ИБ определён математиками в конце 1960-тых и принят как стандарт в 1983г. Нарушать его нельзя. Все технологии требующие WX надо выкинуть с ядра, системного и прикладного ПО, это самый минимум для ИБ. А ловить вири, когда те уже ЗАПУСТИЛИСЬ С ПРАВАМИ ЯДРА в системе, неблагодарное занятие. Еще один аналогичный плохой пример: eBPF-based Security Observability and Runtime Enforcement solution, named Tetragon,(Isovalent) https://grsecurity.net/tetragone_a_lesson_in_security_fundam...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24

24. Сообщение от Аноним (23), 16-Сен-23, 06:48	+1 +/–
Поправлю ссылку: https://grsecurity.net/tetragone_a_lesson_in_security_fundam... и эта не работает. Эта тоже не работает: https://grsecurity.net/blog Попробуйте так: По ссылке не переходите, а наберите руками: https://grsecurity.net Далее в правом вверхнем углу перейдите на BLOG (https://grsecurity.net/blog) мне все статьи с этого блога нравятся, читаю по возможности. На странице блога от May 24, 2022 есть статья "Tetragone: A Lesson in Security Fundamentals" написанная Pawel Wieczorkiewicz, Brad Spengler (https://grsecurity.net/tetragone_a_lesson_in_security_fundam...)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

25. Сообщение от Аноним (27), 16-Сен-23, 13:20	+/–
Kernel Self Protection Settings Whonix uses strong Kernel Hardening Settings as recommended by the Kernel Self Protection Project (KSPP).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от Аноним (27), 16-Сен-23, 13:22	+/–
https://github.com/Kicksecure/security-misc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от Аноним (27), 16-Сен-23, 13:34	+/–
https://www.kicksecure.com/wiki/Linux_Kernel_Runtime_Guard_LKRG https://github.com/lkrg-org/lkrg?ysclid=lmm2jjqj3p363822167
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

29. Сообщение от Аноним (27), 16-Сен-23, 15:19	+/–
Сдается мне, что установить не самое главное. Тут важно, как правильно приготовить и как его есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

30. Сообщение от Аноним (27), 16-Сен-23, 15:47	+/–
$ apt search lkrg
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

31. Сообщение от Аноним (31), 16-Сен-23, 20:46	–1 +/–
>А если >Короче, такие вещи лучше захардкодить А если захардкодишь неверно? А если во рту грибы выросли? >А если файл недоступен, что делать? Отключать эту защиту, писать в dmesg. >А если доступен, но неправильного формата? Отключать эту защиту, писать в dmesg. >А если прочиталась только половина файла? Если ошибка чтения - отключать эту защиту, писать в dmesg. Если нет ошибки чтения - применять все прочитанные пути, включать защиту. Если у тебя сбойный диск - то ты не можешь гарантировать, что сам модуль ядра и вообще сам бинарь ядра верно прочитан. В таких условиях все гарантии аннулированны и ты вообще должен сказать спасибо, что у тебя хоть что-то работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

33. Сообщение от Пряник (?), 18-Сен-23, 12:03	+/–
Вопрос времени. Другой вопрос: почему не использовать AppArmor, SELinux?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема